Dnes jsem potřeboval vyřešit jednoduchý problém. Potřeboval jsem vyřešit spouštění jedné aplikace u uživatele, který musí mít pouze oprávnění ze skupiny Users. Aplikace pod účtem skupiny Users nefungovala, nepomáhalo nastavení práv na adresáře s aplikací, popis používaných větví registrů mi nebyl znám na nechtělo se mi po něm pátrat.

Situaci bylo možné řešit s pomocí příkazu runas. Tento příkaz umožní uživateli spuštění určitých nástrojů a programů s jinými oprávněními, než jaká mu poskytuje aktuální přihlášení. Situaci však nebylo možné řešit s pomocí standardního runas příkazu z Windows, neboť ten neumožňuje vložení hesla pomocí parametru z příkazové řádky.

Použil jsem tedy jednoduchou RunAs utilitu CPAU, která mi umožnila problém jednoduše vyřešit. Aplikace pochází z dílny joeware.net. Na rozdíl od windowsového příkazu runas umí utilita pro spuštění aplikace použít heslo vložené do příkazové řádky.

Použití utility je jednoduché – následující příkaz spustí soubor aplikace.exe pod účtem spravce s heslem hesloheslovate.

cpau -u spravce -p hesloheslovate -ex "c:program filesaplikacespust.exe" -lwp 

Umístit heslo do dávky (případně zástupce) není to pravé ořechové, pro tyto případy je však CPUAU vybaven dalším přepínačem

cpau -u spravce -p hesloheslovate -ex "c:program filesaplikacespust.exe" -enc -file aplikace.job 

Po spuštění tohoto příkazu nedojde ke spuštění aplikace, ale k vytvoření souboru aplikace.job, který obsahuje zašifrované informace o uživatelském účtu, heslu a cestě ke spouštěnému souboru.

Výsledný soubor aplikace.job pak vypadá takto:

Pak už jen stačí uživateli vytvořit zástupce, který spustí CPAU s potřebnými parametry, tak, aby došlo k načtení šifrovaného souboru aplikace.job.

cpau -dec -file aplikace.job -lwp

A uživatelé mohou aplikaci vesele spouštět i ze svého profilu s opravněním User.

Je jasné, že toto řešení má řadu slabin – stačí nahradit soubor aplikace.exe jiným souborem a dávka spustí soubor, který může útočník použít ke zvýšení svých práv apod. Proto je vhodné umístit aplikaci.exe do adresáře ve kterém uživatelé nemají možnost zápisu. Použití předpokládá, že se jedná o počítač, který není v doméně a u nějž případné zneužití runas skriptu povede maximálně k přeinstalaci PC.